Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. PaloAlto selbst stuft die Gefahr nur mit 7.8 und als hochgefährlich ein.
Das BSI schreibt in seiner Warnung zur Next-Generation-Firewall (NGFW)-Plattform „PaloAlto Networks Expedition“ mit dem kritischen CVSS-Wert 9.3: „Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in PaloAlto Networks Expedition ausnutzen, um Daten zu manipulieren, Informationen offenzulegen, einen Cross Site Scripting Angriff durchzuführen, oder Befehle auszuführen.“
PaloAltoNetworks liefert Security Advisoriy
Am 8. Januar 2025 veröffentlichte Palo Alto Networks eine Sicherheitswarnung (PAN-SA-2025-0001) bezüglich mehrerer Schwachstellen im Expedition Migration Tool. Dieses Tool, früher als „Migration Tool“ bekannt, unterstützt die Migration zu Palo Alto Networks Next-Generation Firewalls (NGFW) und dient als temporärer Arbeitsbereich zur Optimierung von Sicherheitsrichtlinien. Es ist nicht für den produktiven Einsatz vorgesehen und wurde am 31. Dezember 2024 offiziell eingestellt.
Betroffene Versionen
- Expedition Versionen vor 1.2.101
Nicht betroffene Produkte
- Firewalls
- Panorama Appliances
- Prisma Access Deployments
- Cloud NGFWs
Weitere Details zu den Schwachstellen
- CVE-2025-0103: Eine SQL-Injection-Schwachstelle ermöglicht es authentifizierten Angreifern, auf Datenbankinhalte wie Passwort-Hashes, Benutzernamen, Gerätekonfigurationen und API-Schlüssel zuzugreifen. Zudem können sie beliebige Dateien auf dem System erstellen und lesen.
- CVE-2025-0104: Eine reflektierte Cross-Site-Scripting (XSS)-Schwachstelle erlaubt es Angreifern, bösartigen JavaScript-Code im Browser eines authentifizierten Expedition-Benutzers auszuführen, falls dieser auf einen manipulierten Link klickt. Dies kann zu Phishing-Angriffen und dem Diebstahl von Browsersitzungen führen.
- CVE-2025-0105: Eine Schwachstelle ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien, auf die der Benutzer „www-data“ Zugriff hat, auf dem Host-Dateisystem zu löschen.
- CVE-2025-0106: Durch eine Schwachstelle in der Wildcard-Erweiterung können nicht authentifizierte Angreifer Dateien auf dem Host-Dateisystem auflisten.
- CVE-2025-0107: Eine OS-Befehlsinjektions-Schwachstelle ermöglicht es authentifizierten Angreifern, beliebige Betriebssystembefehle als „www-data“-Benutzer auszuführen, was zur Offenlegung von Benutzernamen, Klartext-Passwörtern, Gerätekonfigurationen und API-Schlüsseln führen kann.
Empfehlungen von PaloAltoNetworks
Da Expedition am 31. Dezember 2024 das Ende seines Lebenszyklus erreicht hat und keine weiteren Updates oder Sicherheitsfixes geplant sind, empfiehlt Palo Alto Networks, auf alternative Tools umzusteigen. Weitere Informationen und empfohlene Alternativen finden sich in der Expedition End of Life Announcement. Es wird dringend empfohlen, Expedition nicht mehr zu verwenden und auf die vorgeschlagenen Alternativen umzusteigen, um die Sicherheit Ihrer Systeme zu gewährleisten.
Mehr bei paloaltonetworks.com
Über Palo Alto Networks Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.